Die forcierte Geschwindigkeit von Innovationen, gestiegene Kundenerwartungen an Performance und eine globale Verfügbarkeit der Services sind heute zentrale Herausforderungen für Unternehmen. Hier helfen Public Cloud Plattformen: Sie bieten nahezu unbegrenzte Ressourcen, eine Fülle von Plattformservices und den gewünschten internationalen Footprint. Um das Potenzial der sogenannten Hyperscaler wie AWS, Google Cloud oder Azure nutzen zu können, sind jedoch einige Voraussetzungen zu berücksichtigen. Dies betrifft insbesondere die Sicherheit der genutzten Systeme. Die zentrale Frage ist, wer für welche Bereiche die Verantwortung in der Public Cloud trägt.
Zuständigkeiten in der Public Cloud: Wunsch und Wirklichkeit
Ob aus Unkenntnis, Orientierung an Modellen des klassischen Outsourcings oder dem Wunsch, umfassend entlastet zu werden: Viele Unternehmen sehen den Public Cloud Anbieter in der Verantwortung für Aufgaben, die nicht in seinem Zuständigkeitsbereich liegen. So zeigt eine Studie von Crisp Research über die „Verantwortungsverteilung in der Public Cloud“, dass für die meisten Unternehmen der Public Cloud Anbieter in fast allen Bereichen in der Verantwortung steht.
Auch wenn es für den Kunden sicherlich die komfortablere Variante darstellt, handelt es sich dennoch um eine Fehleinschätzung: Denn der Public Cloud Provider ist nicht für die Sicherheit und die Verwaltung aller Service Layer zuständig.
Das Modell der „Shared Responsibility“
Hinsichtlich der Sicherheit und Verwaltung der Public Cloud Services gilt vielmehr das Modell der „Shared Responsibility“. Der Public Cloud Provider trägt nicht für den gesamten Service Stack bis zur Applikationsebene die Verantwortung, sondern ausschließlich für die Infrastruktur, d.h. für die Hardware, das Netzwerk und die Einrichtungen, auf denen Cloud-Services ausgeführt werden. Der Zuständigkeitsbereich des Kunden erstreckt sich auf den Betrieb und die Sicherheit der eigenen Infrastrukturumgebung und der darauf betriebenen Systeme, Applikationen, Services und Daten.
Beispiele für Verantwortung des Public Cloud Anbieters
- Aufbau der physischen Standorte und Rechenzentrumsinfrastruktur
- Rechenleistung, Speicherplatz, Netzwerk
- Bereitstellung der Virtualisierungsebene
- Bereitstellung von Services und Tools
Beispiele für Verantwortung des Kunden
- Installation und Sicherheit der Betriebssysteme einschließlich Updates und Patches
- Sicherheit und Verwaltung der Anwendungssoftware
- Konfiguration der Firewall
- Verschlüsselung der Daten und Datenverbindungen
- Identitäts- und Zugriffskontrollen
- Betrieb der eigenen Applikationen
AWS differenziert in diesem Sinne zum Beispiel zwischen der „Sicherheit der Cloud“ im Unterschied zur „Sicherheit in der Cloud“. Die „Sicherheit der Cloud“ bezieht sich auf den Schutz der Infrastruktur, in der die in der AWS Cloud angebotenen Services ausgeführt werden. Die „Sicherheit in der Cloud“ adressiert hingegen die Verantwortung des Kunden, zum Beispiel die von ihm genutzten Anwendungssoftware oder Hilfsprogramme. Dabei ist es auch von Relevanz, welche spezifischen Services eines Public Cloud Anbieters der Kunde bezieht, denn die Zuständigkeiten können in Abhängigkeit davon variieren können.
AWS hat das Modell der Shared Responsibility zwar am ausdrücklichsten formuliert, aber einen ähnlichen Ansatz verfolgen auch die andere Hyperscaler - auch Google Cloud Platform und Microsoft Azure gehen von einem Modell geteilter Verantwortung zwischen Anbieter und Kunden aus.
Risiken meiden – Chancen nutzen
Was passieren kann, wenn man die eigene Verantwortung für die Sicherheit in der Public Cloud außer Acht lässt, veranschaulicht ein Vorfall aus dem Juli 2017. Die Daten von mehreren Millionen Kunden waren monatelang bei einem Dienstleister von Verizon auf einem ungesicherten Cloudserver zugänglich. Der Grund waren unzureichende Sicherheitsmaßnahmen auf Kundenseite. https://www.heise.de/security/meldung/Daten-von-Millionen-Verizon-Kunden-waren-ungeschuetzt-3770874.html
Das Beispiel und ähnliche Vorfälle belegen: Es ist notwendig sich der Verantwortung bewusst zu sein und das Service Portfolio und die Eigenschaften der Cloud Plattformen hinreichend zu verstehen. Bei Public Cloud Services handelt es sich weder um eine einfache Neuauflage des klassischen Outsourcings, bei dem auch die Verantwortung für die Sicherheit delegiert wird, noch um „IT-Ressourcen aus der Steckdose“. Nur wenn Unternehmen die notwendigen Maßnahmen selber umsetzen oder vom einen spezialisierten Partner realisieren lassen, ist eine sichere und effiziente Nutzung gewährleistet. Erst dann lassen sich die Chancen und Vorteile der Public Cloud für die Digitalisierung des Unternehmens oder zur Gewinnung von Kostenvorteilen erfolgreich nutzen.